Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein Escan Log (https://www.trojaner-board.de/45745-escan-log.html)

funowner 14.11.2007 16:13

Hier mal das online Ergebnis:

Ist also eine schädliche Datei...

Datei nso87EB.dll empfangen 2007.11.14 16:03:15 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/32 (37.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.1 2007.11.14 -
AntiVir 7.6.0.34 2007.11.14 TR/Fotomoto.G
Authentium 4.93.8 2007.11.14 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.14 Adware Generic2.VAQ
BitDefender 7.2 2007.11.14 Adware.BHO.WQE
CAT-QuickHeal 9.00 2007.11.14 AdWare.BHO.jj (Not a Virus)
ClamAV 0.91.2 2007.11.14 -
DrWeb 4.44.0.09170 2007.11.14 -
eSafe 7.0.15.0 2007.11.13 -
eTrust-Vet 31.2.5294 2007.11.14 -
Ewido 4.0 2007.11.14 -
FileAdvisor 1 2007.11.14 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.14 W32/Backdoor.BYUV
F-Secure 6.70.13030.0 2007.11.14 -
Ikarus T3.1.1.12 2007.11.14 not-a-virus:AdWare.Win32.BHO.jj
Kaspersky 7.0.0.125 2007.11.14 not-a-virus:AdWare.Win32.BHO.jj
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2658 2007.11.14 Win32/BHO.NBD
Norman 5.80.02 2007.11.14 -
Panda 9.0.0.4 2007.11.14 Adware/WebSearch
Prevx1 V2 2007.11.14 -
Rising 20.18.20.00 2007.11.14 -
Sophos 4.23.0 2007.11.14 -
Sunbelt 2.2.907.0 2007.11.14 TR/Fotomoto.G
Symantec 10 2007.11.14 -
TheHacker 6.2.9.127 2007.11.14 -
VBA32 3.12.2.4 2007.11.11 AdWare.Win32.BHO.jj
VirusBuster 4.3.26:9 2007.11.13 -
Webwasher-Gateway 6.0.1 2007.11.14 Trojan.Fotomoto.G
weitere Informationen
File size: 204800 bytes
MD5: f89b39d733d05876737e4b06222003a2
SHA1: 44ac2b33600c2cf3bd4ec3b0d7db36db61c4d31c

Killbox.exe ist leider nicht ausführbar...

Cleriker 14.11.2007 16:28

1. Warum hast du diese Datei gescannt,
das ist die, die wir schon die ganze Zeit löschen wollen.
Wir haben um die Auswertung dieser Datei gebeten:
Zitat:

C:\Users\Chris\AppData\Local\Temp\symlcsv1.exe
2. Warum ist die Killbox nicht ausführbar. Sperrt sich
deine Firewall, ein Av-Tool oder kommt ein Fehler / Hinweis.

Erläutere bitte deine Ergebnisse konkreter. Ich geb mir schließlich
auch Mühe, alles breit zu erklären. Und Vista ist sowieso eine
Spielplatz für sich.

funowner 14.11.2007 20:58

Tut mir leid. Ich bin wirklich dankbar für die Hilfe!

Nur bin ich zur Zeit selbst ziemlich im Stress: schule, JGR, Privates....da wird der PC dann hochgefahren und alles muss schnell erledigt werden;)

Seltsamerweise lässt sich die Killbox jetzt ausführen.
Allerdings erhalte ich dort wenn ich neu starten will mit dem Programm eine Meldung, die besagt, dass irgendwelche Umbenennungsoptionen von Dateien von einem externen Programm gelöscht wurden...

Die Überprüfung der besagten Datei liefere ich noch nach.

funowner 14.11.2007 21:34

So die Datei ist nun gelöscht, der CCleaner wurde ausgeführt, der PC neu gestartet, jedoch besteht das Problem, dass Programme z.T. nicht richtig funktionieren immer noch.

Nun einmal das Überprüfungsergebnis der anderen Datei:

Code:

Datei symlcsv1.exe empfangen 2007.11.14 21:28:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 55 und 78 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2007.11.15.0        2007.11.14        -
AntiVir        7.6.0.34        2007.11.14        -
Authentium        4.93.8        2007.11.14        -
Avast        4.7.1074.0        2007.11.13        -
AVG        7.5.0.503        2007.11.14        -
BitDefender        7.2        2007.11.14        -
CAT-QuickHeal        9.00        2007.11.14        -
ClamAV        0.91.2        2007.11.14        -
DrWeb        4.44.0.09170        2007.11.14        -
eSafe        7.0.15.0        2007.11.14        -
eTrust-Vet        31.2.5294        2007.11.14        -
Ewido        4.0        2007.11.14        -
FileAdvisor        1        2007.11.14        -
Fortinet        3.11.0.0        2007.10.19        -
F-Prot        4.4.2.54        2007.11.14        -
F-Secure        6.70.13030.0        2007.11.14        -
Ikarus        T3.1.1.12        2007.11.14        -
Kaspersky        7.0.0.125        2007.11.14        -
McAfee        5163        2007.11.14        -
Microsoft        1.3007        2007.11.12        -
NOD32v2        2658        2007.11.14        -
Norman        5.80.02        2007.11.14        -
Panda        9.0.0.4        2007.11.14        -
Prevx1        V2        2007.11.14        -
Rising        20.18.20.00        2007.11.14        -
Sophos        4.23.0        2007.11.14        -
Sunbelt        2.2.907.0        2007.11.14        -
Symantec        10        2007.11.14        -
TheHacker        6.2.9.128        2007.11.14        -
VBA32        3.12.2.4        2007.11.11        -
VirusBuster        4.3.26:9        2007.11.14        -
Webwasher-Gateway        6.0.1        2007.11.14        BlockReason.0
weitere Informationen
File size: 58760 bytes
MD5: e54a274f67ed0eea150ef01833ae9939
SHA1: 51827720f09aea9b49eeb253a56930c82dc46173


Cleriker 15.11.2007 10:45

Edit: hatte was übersehn *Meldung zurück nehm*

überprüfew die gescannte Datei bitte nochmal gegen
bei Jotti. Ich bin mir irgendwie immer noch nicht sicher
bei der.

Zitat:

Allerdings erhalte ich dort wenn ich neu starten will mit dem Programm eine Meldung, die besagt, dass irgendwelche Umbenennungsoptionen von Dateien von einem externen Programm gelöscht wurden...
Wurde Sie gelöscht oder nicht? Schau bitte nach.
Wenn ja lösche den Backupordner und leere den Papierkorb anschließend.

Cleriker

funowner 15.11.2007 13:11

Ja ich habe alles gelöscht.
Die Überprüfung muss ich wieder nachliefern...

Cleriker 15.11.2007 13:35

Zitat:

Diese AdWare scheint aber Fehler zu kreieren, die zum Abbruch von Programmen, vornehmlich den Browsern führt.
Beschreibe das mal bitte priziser, was meinst du mit Abbruch?
Stürtzt der rechner komplett ab, wird das Programm geschlossen?

mfg Cleriker

funowner 15.11.2007 16:18

Ja es öffnet sich ein Fenster unter Vista mit der Meldung: "Programm XY funktioniert nicht mehr". Dann wird nach einer Lösung gesucht usw.
Dies passiert im IE und Firefox immer öfter und der MagixMusicMaker läuft z.b. schon eine Weile nicht mehr...
Den Rechner schränkt es nicht ein.
Außerdem bringt meine Firewall jedes mal die frage: ob auth.exe zugelassen werden soll.
Immer, wenn ich einen Browser starte.

Cleriker 15.11.2007 17:31

1) auth.exe -> Cadsoft
2) auth.exe -> Kopierschutz für DVD's
Klingelt da irgendwas wenn ich die Begriffe in den Raum schmeiße?


Zitat:

"Programm XY funktioniert nicht mehr"
Zapp dich mal durch die Links. Ich habe keine Lust mehr
heute die Buggs von Vista zu erforschen:
Programm XY funktioniert nicht mehr

Programm funktioniert nicht mehr

IE geht nicht mehr

funowner 15.11.2007 21:04

Mein Fehler....die Datei heißt "aupd.exe" .

Die ganzen Maßnahmen unter Vista habe ich leider schon versucht. Hat keinen Erfolg gebracht.

Cleriker 16.11.2007 09:41

Zitat:

Mein Fehler....die Datei heißt "aupd.exe" .
Da spuckt mir Google einen Trojaner-Downloader aus. Wieso
war der in den Scans nicht zu sehen. Suche ihn bitte
und versuche ihn bei Virustotal hoch zu laden.
Sollte dies nicht gelingen, müssen wir nochmal tiefer scannen:

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

mfg Cleriker

funowner 16.11.2007 13:50

Ich habe lediglich eine "AUpdate.exe" gefunden. Diese habe ich dann hochgeladen. Allerdings lieferte das kein Ergebnis, sprich demnach sollen dort keine Viren oder ähnliches enthalten sein.
Ich bin mir jetzt nicht sicher, ob das die richtige Datei war und wenn nicht, wie ich diese dann finden kann.

Hier das Ergebnos des SilentRunners verlinkt:

http://gedichte.talkparty.de/result.txt


Die Zeichen wären zu viele gewesen...

Cleriker 16.11.2007 14:03

booaa:lmaa:

Aha, ich hab' mich mal genauer umgeschaut.
-> Browser Hijacker

Demzufolge müsste beim Hijackthisscan in der Toolbarauflistung
zu finden sein. Erstelle also bitte, wie schon im 1. Post von mir
gebeten, ein hijackthislogfile und poste ihn.


* HijackThis - Scan
1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final
2. Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
3. Führe die Datei aus und bestätige die Warnung mit "ok"
4. Wähle die Option "Do a System Scan and save a logfile"
5. poste den kompletten Inhalt des entstehenden LogFiles
(Poste bitte nicht als Zitat sondern einfach hinein. Scrollen ist anstrengend)
6. Entferne persönliche Informationen sowie aktive Links

funowner 16.11.2007 14:14

genau die Seite hatte ich auch schon gefunden.Mir ist nun auch klar, dass mein problem dort liegt.
Wie ich sehe, nerve ich dich allerdings, werde also alleine weiterzumachen versuchen.

Danke für deine Hilfe:daumenhoc

Cleriker 16.11.2007 14:30

Zitat:

Wie ich sehe, nerve ich dich allerdings, werde also alleine weiterzumachen versuchen.
Nischt is' hiergeblieben. Der Ausdruck war nicht an dich gerichtet,
sondern an dein Vista. Also her mit dem hijackthislogfile. Das
bekommen wir schon hin. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:49 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129